相当管用了 mstha插件

时间:2021-04-27 15:04:21

http://www.i-magical.com/2010/04/feizhuliu-kill-virus-mshta-exe/

非主流杀毒 – mshta.exe

Vincent | Apr 23, 2010 | 14 comments

昨天晚上不知道怎么回事电脑居然“中毒”了。上网的时候点太快了,不知道乱点到什么东西。当时的印象就是一黑一闪,然后迅速消失,凭经验知道恶意程序或这木马侵入了电脑。果然,电脑屏幕右侧总是弹出窗口和广告,无论怎么删除和关闭,总是间断的弹出来。进程列表里也总是多了mshta.exe这么个进程。杀了后还是会自己出来,很是烦躁。
相当管用了   mstha插件mshta.exe是Html程序的宿主进程,可以运行许多Html程序,它本身是没有什么问题的。于是我就根据其进程信息去找所有引用和加载的文件以及dll,清理和删除了不少。手动恢复了不少注册表信息。可是结果是,它还是总跳出来。
于是我想,电脑上是否隐藏了.hta程序来被其运行。搜索了半天,没有。由此可见这些文件都是动态生成的,从弹出的窗口信息可以看到,这2天弹出窗口里的信息居然是更新的,于是可以肯定,它访问了网络,都是下载过来的。于是打开网络监控:

相当管用了   mstha插件果然如此。可是这样也解决不了,关闭/禁止它的连接,也不是根除的办法。

算了,开始轮番用Avast,SUPERAntiSpyware,Avgs,IObit Security 360,360安全卫士狂杀,居然结果是没一个奏效。开始怀念卡巴斯基了….

其实给我的直觉是,这个肯定不是什么大不了东西,估计不是病毒,就是个恶意的小玩意。什么地方卡壳了?
后来仔细一看,!其实好简单:
Process Explorer里面很清楚,mshta.exe的父进程是Taskeng.exe,即Task Scheduler Engine。这里可以查看当前系统的所有Task的Schedule。

相当管用了   mstha插件
点击查看当前正在跑的Task。很明显Task Name那么怪异的就是有问题,打开它的属性页:
相当管用了   mstha插件
可以编辑这个Task的信息设置。比如编辑它的触发器,这里是每5分钟重复一次。
然后可以添加这个Task的Action:
相当管用了   mstha插件
当然还有其他的许多设置。这样的话,我的电脑每5分钟就会弹出这么一个窗口。
肯定是当我点击了什么东西,运行了一段程序,给我的电脑的Task列表里添加了这么一项。这东西对外的编程接口很良好,要做到这个是非常简单的。我把这个Task删除,一下什么都清净了。

其实系统的Task Scheduler是个很实用的东西,很多程序和应用都在这里注册了Task。比如苹果软件的自动更新:
相当管用了   mstha插件
用户可以对各个Task进行自定义编辑。当然,也可以向上述那样,添加个恶意的或者广告的Task,那就成了恶意程序了~~~~。

所以,有的时候,问题其实并不复杂,其实,很简单….
不要盲目下手,保持思路的清晰。任何时候,不要让自己的思路和思维封闭。